Bulletin d'alerte Debian

DSA-3380-1 php5 -- Mise à jour de sécurité

Date du rapport :
27 octobre 2015
Paquets concernés :
php5
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-7803, CVE-2015-7804.
Plus de précisions :

Deux vulnérabilités ont été découvertes dans PHP, un langage de script généraliste couramment utilisé pour le développement d'applications web.

  • CVE-2015-7803

    L'extension phar pourrait planter avec un déréférencement de pointeur NULL lors du traitement d'archives tar contenant des liens renvoyant à des fichiers qui n'existent pas. Cela pourrait conduire à un déni de service.

  • CVE-2015-7804

    L'extension phar ne traite pas correctement les entrées de répertoire trouvées dans des fichiers archive dénommés « / », menant à un déni de service et, éventuellement, à la divulgation d'informations.

La mise à jour pour Debian stable (Jessie) fournit des corrections de bogues supplémentaires provenant de la version amont  5.6.14 de PHP, comme cela est décrit dans la liste de changements de l'amont :

Note pour les utilisateurs de la distribution oldstable (Wheezy) : PHP 5.4 a atteint sa fin de vie le 14 septembre 2015. En conséquence, il n'y aura plus de nouvelle version amont. La prise en charge de sécurité de PHP 5.4 dans Debian oldstable (Wheezy) sera assumée « au mieux ». Nous vous conseillons fortement de mettre à niveau vers la dernière version stable de Debian (Jessie) qui fournit PHP 5.6.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 5.4.45-0+deb7u2.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 5.6.14+dfsg-0+deb8u1.

Pour la distribution testing (Stretch) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 5.6.14+dfsg-1.

Nous vous recommandons de mettre à jour vos paquets php5.